Wymagania wstępne dotyczące usługi Microsoft Defender for Identity
W tym artykule opisano wymagania dotyczące pomyślnego wdrożenia usługi Microsoft Defender for Identity.
Wymagania dotyczące licencji
Wdrożenie usługi Defender for Identity wymaga jednej z następujących licencji platformy Microsoft 365:
- Enterprise Mobility + Security E5 (EMS E5/A5)
- Microsoft 365 E5 (Microsoft E5/A5/G5)
- Zabezpieczenia platformy Microsoft 365 E5/A5/G5/F5*
- Zabezpieczenia i zgodność platformy Microsoft 365 F5*
- Autonomiczna licencja usługi Defender for Identity
* Obie licencje F5 wymagają platformy Microsoft 365 F1/F3 lub Office 365 F3 i pakietu Enterprise Mobility + Security E3.
Uzyskiwanie licencji bezpośrednio za pośrednictwem portalu platformy Microsoft 365 lub korzystanie z modelu licencjonowania Cloud Solution Partner (CSP).
Aby uzyskać więcej informacji, zobacz Licencjonowanie i prywatność — często zadawane pytania.
Wymagane uprawnienia
Aby utworzyć obszar roboczy usługi Defender for Identity, potrzebujesz dzierżawy identyfikatora Entra firmy Microsoft z co najmniej jednym administratorem zabezpieczeń.
Aby uzyskać dostęp do sekcji Tożsamość obszaru Ustawienia XDR usługi Microsoft Defender i utworzyć obszar roboczy, musisz mieć co najmniej dostęp administratora zabezpieczeń w dzierżawie.
Aby uzyskać więcej informacji, zobacz Grupy ról usługi Microsoft Defender for Identity.
Zalecamy użycie co najmniej jednego konta usługi katalogowej z dostępem do odczytu do wszystkich obiektów w monitorowanych domenach. Aby uzyskać więcej informacji, zobacz Konfigurowanie konta usługi katalogowej dla usługi Microsoft Defender for Identity.
Wymagania dotyczące łączności
Czujnik usługi Defender for Identity musi mieć możliwość komunikowania się z usługą Defender for Identity w chmurze przy użyciu jednej z następujących metod:
| Metoda | opis | Zagadnienia do rozważenia | Dowiedz się więcej |
|---|---|---|---|
| Konfigurowanie serwera proxy | Klienci, którzy mają wdrożony serwer proxy do przodu, mogą korzystać z serwera proxy w celu zapewnienia łączności z usługą MDI w chmurze. Jeśli wybierzesz tę opcję, skonfigurujesz serwer proxy w dalszej części procesu wdrażania. Konfiguracje serwera proxy obejmują zezwalanie na ruch do adresu URL czujnika i konfigurowanie adresów URL usługi Defender for Identity do wszystkich jawnych list dozwolonych używanych przez serwer proxy lub zaporę. |
Umożliwia dostęp do Internetu dla pojedynczego adresu URL Inspekcja protokołu SSL nie jest obsługiwana |
Konfigurowanie ustawień serwera proxy punktu końcowego i łączności z Internetem Uruchamianie instalacji dyskretnej z konfiguracją serwera proxy |
| ExpressRoute | Usługę ExpressRoute można skonfigurować do przekazywania ruchu czujnika MDI przez trasę ekspresową klienta. Aby kierować ruch sieciowy kierowany do serwerów usługi Defender for Identity w chmurze, użyj komunikacji równorzędnej firmy Microsoft usługi ExpressRoute i dodaj do filtru protokołu BGP usługi Microsoft Defender for Identity (12076:5220). |
Wymaga usługi ExpressRoute | Wartość społeczności usługi do protokołu BGP |
| Zapora korzystająca z adresów IP platformy Azure usługi Defender for Identity | Klienci, którzy nie mają serwera proxy lub usługi ExpressRoute, mogą skonfigurować zaporę przy użyciu adresów IP przypisanych do usługi MDI w chmurze. Wymaga to, aby klient monitorował listę adresów IP platformy Azure pod kątem wszelkich zmian w adresach IP używanych przez usługę MDI w chmurze. W przypadku wybrania tej opcji zalecamy pobranie pliku Zakresy adresów IP platformy Azure i tagi usługi — chmura publiczna i użycie tagu usługi AzureAdvancedThreatProtection w celu dodania odpowiednich adresów IP. |
Klient musi monitorować przypisania adresów IP platformy Azure | Tagi usługi sieci wirtualnej |
Aby uzyskać więcej informacji, zobacz Architektura usługi Microsoft Defender for Identity.
Wymagania i zalecenia dotyczące czujników
W poniższej tabeli przedstawiono podsumowanie wymagań i zaleceń dotyczących kontrolera domeny, usług AD FS, usług AD CS, serwera Entra Connect, na którym zostanie zainstalowany czujnik usługi Defender for Identity.
| Wymagania wstępne/zalecenie | opis |
|---|---|
| Specyfikacje | Pamiętaj, aby zainstalować usługę Defender for Identity w systemie Windows w wersji 2016 lub nowszej na serwerze kontrolera domeny z co najmniej: - 2 rdzenie - 6 GB pamięci RAM - Wymagane 6 GB miejsca na dysku, zalecane 10 GB, w tym miejsce na pliki binarne i dzienniki usługi Defender for Identity Usługa Defender for Identity obsługuje kontrolery domeny tylko do odczytu (RODC). |
| Wydajność | Aby uzyskać optymalną wydajność, ustaw opcję zasilania maszyny z czujnikiem usługi Defender for Identity na wartość Wysoka wydajność. |
| Konfiguracja interfejsu sieciowego | Jeśli używasz maszyn wirtualnych VMware, upewnij się, że konfiguracja karty sieciowej maszyny wirtualnej ma wyłączone duże odciążanie wysyłania (LSO). Aby uzyskać więcej informacji, zobacz problem z czujnikiem maszyny wirtualnej VMware. |
| Okno obsługi | Zalecamy zaplanowanie okna obsługi dla kontrolerów domeny, ponieważ może być wymagane ponowne uruchomienie, jeśli instalacja zostanie uruchomiona, a ponowne uruchomienie jest już oczekujące lub jeśli program .NET Framework musi być zainstalowany. Jeśli program .NET Framework w wersji 4.7 lub nowszej nie został jeszcze znaleziony w systemie, jest zainstalowany program .NET Framework w wersji 4.7 i może wymagać ponownego uruchomienia. |
Minimalne wymagania dotyczące systemu operacyjnego
Czujniki usługi Defender for Identity można zainstalować w następujących systemach operacyjnych:
- Windows Server 2016
- Windows Server 2019. Wymaga KB4487044 lub nowszej aktualizacji zbiorczej. Czujniki zainstalowane na serwerze 2019 bez tej aktualizacji zostaną automatycznie zatrzymane, jeśli wersja pliku ntdsai.dll znaleziona w katalogu systemowym jest starsza niż 10.0.17763.316
- Windows Server 2022
Dla wszystkich systemów operacyjnych:
- Obsługiwane są oba serwery ze środowiskiem pulpitu i rdzeniami serwera.
- Serwery Nano Server nie są obsługiwane.
- Instalacje są obsługiwane w przypadku kontrolerów domeny, usług AD FS i serwerów usług AD CS.
Starsze systemy operacyjne
Systemy Windows Server 2012 i Windows Server 2012 R2 osiągnęły przedłużony koniec wsparcia 10 października 2023 r.
Zalecamy uaktualnienie tych serwerów, ponieważ firma Microsoft nie obsługuje już czujnika usługi Defender for Identity na urządzeniach z systemami Windows Server 2012 i Windows Server 2012 R2.
Czujniki działające w tych systemach operacyjnych będą nadal raportować do usługi Defender for Identity, a nawet otrzymywać aktualizacje czujników, ale niektóre nowe funkcje nie będą dostępne, ponieważ mogą polegać na możliwościach systemu operacyjnego.
Wymagane porty
| Protokół | Transport | Port | Od | Do |
|---|---|---|---|---|
| Porty internetowe | ||||
| SSL (*.atp.azure.com) Alternatywnie skonfiguruj dostęp za pośrednictwem serwera proxy. |
TCP | 443 | Czujnik usługi Defender for Identity | Usługa Defender for Identity w chmurze |
| Porty wewnętrzne | ||||
| DNS | TCP i UDP | 53 | Czujnik usługi Defender for Identity | Serwery DNS |
| Netlogon (SMB, CIFS, SAM-R) |
TCP/UDP | 445 | Czujnik usługi Defender for Identity | Wszystkie urządzenia w sieci |
| PROMIEŃ | UDP | 1813 | RADIUS | Czujnik usługi Defender for Identity |
| Porty localhost: wymagane dla aktualizatora usługi czujnika Domyślnie host lokalny do ruchu localhost jest dozwolony, chyba że niestandardowe zasady zapory go blokują. |
||||
| Protokół SSL | TCP | 444 | Usługa czujnika | Usługa aktualizatora czujników |
| Porty rozpoznawania nazw sieciowych (NNR) Aby rozpoznać adresy IP nazw komputerów, zalecamy otwarcie wszystkich portów wymienionych na liście. Wymagany jest jednak tylko jeden port. |
||||
| NTLM przez RPC | TCP | Port 135 | Czujnik usługi Defender for Identity | Wszystkie urządzenia w sieci |
| Netbios | UDP | 137 | Czujnik usługi Defender for Identity | Wszystkie urządzenia w sieci |
| RDP Tylko pierwszy pakiet powitania klienta wysyła zapytanie do serwera DNS przy użyciu wstecznego wyszukiwania DNS adresu IP (UDP 53) |
TCP | 3389 | Czujnik usługi Defender for Identity | Wszystkie urządzenia w sieci |
Jeśli pracujesz z wieloma lasami, upewnij się, że na dowolnym komputerze, na którym zainstalowano czujnik usługi Defender for Identity, upewnij się, że następujące porty są otwarte:
| Protokół | Transport | Port | Do/z | Kierunek |
|---|---|---|---|---|
| Porty internetowe | ||||
| SSL (*.atp.azure.com) | TCP | 443 | Usługa Defender for Identity w chmurze | Wychodzący |
| Porty wewnętrzne | ||||
| LDAP | TCP i UDP | 389 | Kontrolery domeny | Wychodzący |
| Protokół Secure LDAP (LDAPS ) | TCP | 636 | Kontrolery domeny | Wychodzący |
| Ldap do wykazu globalnego | TCP | 3268 | Kontrolery domeny | Wychodzący |
| LdapS do wykazu globalnego | TCP | 3269 | Kontrolery domeny | Wychodzący |
Wymagania dotyczące pamięci dynamicznej
W poniższej tabeli opisano wymagania dotyczące pamięci na serwerze używanym dla czujnika usługi Defender for Identity w zależności od typu używanej wirtualizacji:
| Maszyna wirtualna uruchomiona na | opis |
|---|---|
| Funkcja Hyper-V | Upewnij się, że opcja Włącz pamięć dynamiczną nie jest włączona dla maszyny wirtualnej. |
| VMware | Upewnij się, że ilość pamięci skonfigurowanej i zarezerwowanej pamięci są takie same, lub wybierz opcję Rezerwuj całą pamięć gościa (wszystkie zablokowane) w ustawieniach maszyny wirtualnej. |
| Inny host wirtualizacji | Zapoznaj się z dokumentacją dostarczoną przez dostawcę, aby upewnić się, że pamięć jest w pełni przydzielona do maszyny wirtualnej przez cały czas. |
Ważne
W przypadku uruchamiania jako maszyny wirtualnej wszystkie pamięci muszą być przydzielane do maszyny wirtualnej przez cały czas.
Synchronizacja czasu
Serwery i kontrolery domeny, na których zainstalowano czujnik, muszą mieć czas zsynchronizowany z upływem pięciu minut od siebie.
Testowanie wymagań wstępnych
Zalecamy uruchomienie skryptu Test-MdiReadiness.ps1 w celu przetestowania i sprawdzenia, czy środowisko ma niezbędne wymagania wstępne.
Link do skryptu Test-MdiReadiness.ps1 jest również dostępny w usłudze > Microsoft Defender XDR na stronie Narzędzia tożsamości (wersja zapoznawcza).
Powiązana zawartość
W tym artykule wymieniono wymagania wstępne wymagane do instalacji podstawowej. Dodatkowe wymagania wstępne są wymagane podczas instalowania na serwerze usług AD FS / AD CS lub Entra Connect, aby obsługiwać wiele lasów usługi Active Directory lub podczas instalowania autonomicznego czujnika usługi Defender for Identity.
Aby uzyskać więcej informacji, zobacz:
- Wdrażanie usługi Microsoft Defender for Identity na serwerach usług AD FS i AD CS
- Obsługa wielu lasów w usłudze Microsoft Defender for Identity
- Wymagania wstępne dotyczące autonomicznego czujnika usługi Microsoft Defender for Identity
- Architektura usługi Defender for Identity